摘译 | 林心雨/赛博研究院实习研究员

来源 | IBM

IBM主要研究了2021年3月至2022年3月期间受数据泄露影响的550家组织。这些入侵事件发生在17个国家和地区，涉及17个不同的行业。报告通过对受数据泄露影响的组织中的个人进行的3600多次访谈，发现组织在不同数据泄露事件中的成本与组织对数据泄露的即时和长期响应措施直接相关。

数据显示，在数据泄露发生后，数十个因素是如何导致成本不断增加。值得注意的是，该研究首次提出以下见解：

• 83%的被调查组织曾经历过一次以上的数据泄露。

• 60%的企业数据泄露导致了转嫁给客户的价格上涨。

• 79%的关键基础设施组织没有部署零信任架构。

• 19%的数据泄露是由于与合作伙伴的妥协。

• 45%的数据泄露事件基于云环境。

1、数据泄露的平均成本

2022年，数据泄露的平均成本达到435万美元，创历史新高。这一数字比去年增加了2.6%——去年的平均违约成本为424万美元。而相比2020年报告中的386万美元则上升了12.7%。

数据泄露的平均成本

2、数据泄露的企业经历

83%的受访企业经历过不止一次的数据泄露。60%的被调查机构表示，由于数据泄露，他们提高了服务或产品的价格。

3、关键基础设施组织的数据泄露

报告涉及的关键基础设施组织的数据泄露平均成本为482万美元，比其他行业组织的平均成本高出100万美元。关键的基础设施组织包括金融服务、工业、技术、能源、运输、通信、保健、教育和公共部门等行业的组织。28%的组织经历过破坏性或勒索软件的攻击，而17%的组织经历过由于商业伙伴受到威胁而造成的数据泄露。

4、安全人工智能和自动化技术的部署

完全部署安全人工智能和自动化技术的组织，相较对没有部署该技术的组织，数据泄露成本要低305万美元。这65.2%的平均违约成本差异是该研究中发现的最大成本削减。此外，完全部署安全人工智能和自动化技术的公司识别和控制漏洞的时间(即漏洞生命周期)平均缩短了74天。安全人工智能和自动化技术的使用在两年内跃升近五分之一——从2020年的59%增至2022年的70%。

5、勒索软件攻击

研究中11%的入侵行为是勒索软件攻击，相比2021年的7.8%，该比例显著上升，增长率为41%。勒索软件攻击的平均成本略有下降，从2021年的462万美元降至2022年的454万美元，略高于数据泄露的总体平均成本435万美元。

6、使用被盗或被破坏的凭证

使用被盗或被破坏的凭证仍然是导致数据泄露的最常见原因。在2022年的研究中，其是主要攻击源，导致了19%的违规行为；而在2021年的研究中，其已经是主要攻击源，导致了20%的违规行为。由被盗或泄露的证书造成的破坏平均成本为450万美元。这些漏洞的生命周期最长，需平均243天来识别漏洞，以及平均84天来控制漏洞。网络钓鱼是第二大最常见的入侵原因，占16%，也是成本最高的，平均入侵成本为491万美元。

7、零信任的安全架构

在这项研究中，只有41%的组织表示他们部署了零信任的安全架构，与没有部署零信任的组织少承担了平均100万美元的违约成本。在关键的基础设施组织中，更高的比例是79%的组织未部署零信任。这些组织遭受了平均540万美元的入侵成本，比全球平均水平高出100多万美元。

8、远程工作

远程工作是漏洞利用的一个因素，其成本平均比其他漏洞高出近100万美元。与全球平均水平相比，与工作相关的远程入侵平均成本高出约60万美元。

9、混合云模型

研究中45%的漏洞发生在云端。然而，在混合云环境中发生的入侵平均成本为380万美元，而在私有云中发生的入侵导致的成本为424万美元，在公共云中发生的入侵的成本则高达502万美元。混合云入侵和公共云入侵的成本差异为27.6%，使用混合云模型的组织也比只采用公共或私有云模式的组织有更短的漏洞生命周期。

10、事件响应（IR）计划

在这项研究中，近四分之三的组织称自己有一个IR计划，其中63%的组织称会定期测试该计划。拥有一个定期测试的IR团队和IR计划可以节省大量的成本——与没有IR的组织或不测试IR计划的组织相比，拥有IR团队的企业测试其IR计划的数据泄露平均成本要低266万美元，节省了58%的成本。

11、可拓展威胁检测与响应（XDR）技术

44%的组织应用了XDR技术，这些组织在响应时间方面看到了该技术相当大的优势。与没有实施XDR的组织相比，那些部署了XDR的组织平均缩短了大约一个月的漏洞生命周期。具体来说，采用了XDR的组织需要275天来识别漏洞，而没有部署的则需要304天，意味着10%的响应时间差异。

12、各行业的数据泄露成本

医疗违规成本再创新高。卫生保健领域的平均数据泄露成本增加了近100万美元，达到1010万美元。自2020年报告发布以来，医疗已连续12年成为数据泄露成本最高昂的行业，增长了41.6%。金融机构的成本排名第二，平均为597万美元，后面是制药(501万美元)、技术(497万美元)和能源(472万美元)。

按行业划分的数据泄露平均成本

13、各地区的数据泄露成本

数据泄露平均成本最高的5个国家和地区分别是:美国（944万美元）、中东（746万美元）、加拿大（564万美元）、英国（505万美元）和德国（485万美元）。美国已经连续12年高居榜首。与此同时，与去年相比增长最快的国家是巴西，从108万美元增长到138万美元，增长了27.8%。

不同地区的数据泄露平均成本

报告中概述了组织应该采取的几类措施，从而帮助降低数据泄露的财务成本和声誉后果。

一、采用零信任安全模型，防止对敏感数据的未经授权访问。

研究结果显示，41%的组织实施了零信任安全架构，通过成熟的部署可以节省150万美元的潜在入侵成本。随着组织合并了远程工作和混合云环境，零信任策略可以通过限制数据和资源的可访问性来帮助保护数据和资源。

二、通过策略和加密在云环境中保护敏感数据。

随着云环境中托管的数据的数量和价值的增加，组织应该采取措施保护云托管的数据库。研究显示，成熟的云安全实践节省了72万美元的违规成本。使用数据分类模式和保留程序来增加可见性，并使用数据加密和完全同态加密保护敏感信息，减少易被泄露的敏感信息的数量。使用内部框架进行审计、评估整个企业的风险并跟踪对治理需求的合规性，可以帮助企业提高检测数据泄露和升级防御措施的能力。

三、投资SOAR (安全编排自动化和响应技术)和XDR帮助缩短检测和响应时间。

与安全人工智能和自动化一起，XDR可以帮助显著降低平均数据泄露成本并缩短泄漏生命周期。根据这项研究，与未使用XDR的组织相比，部署XDR的组织平均缩短了29天的漏洞生命周期，节省了40万美元的成本。SOAR与XDR可以帮助组织通过自动化、流程标准化和与现有安全工具的集成来加速事件响应。

四、使用有助于保护和监控端点和远程员工的工具。

在这项研究中，远程工作比其他数据泄露原因的泄露成本高出近100万美元。统一端点管理(UEM)、端点检测和响应(EDR)和身份和访问管理(IAM)产品和服务可以帮助安全团队更深入地了解可疑活动、加速调查和响应时间，以预防和控制远程工作导致的破坏。

五、创建和测试数据泄露事件的应对剧本，提高网络弹性。

降低数据泄露成本最有效的两种方法是组建IR团队和对IR计划进行多次测试。该项研究中，有IR团队的组织的数据泄露成本节省了266万美元。通过设立详细的网络事件剧本，组织可以迅速做出反应，控制入侵的后果。